企业网络安全管理初探

摘要：在企业计算机网络管理中，怎样有效安全地管理整个网络系统，更好的为企业服务已成为困扰网络管理者的问题，该文对网络安全内涵发生的根本变化就网络的安全性及其实现方法进行了深入的探讨，并给出具体解决方案。

关键词：网络安全；黑客；信息；漏洞；对策

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)17-4044-03

Enterprise Network Security Management Were Discussed

XIE Qing-yu

(Shandong Electric Power School Information Center,Tai'an 271000, China)

Abstract: In the enterprise the computer network management, how to effectively manage the entire network system, safely better for the enterprise service has become the problem bothering network managers content of network security, this paper is the fundamental changes will occur the safety of network and its realization methods were discussed thoroughly, and specific solutions.

Key words: network security; hackers; information; holes; countermeasures

自上世纪九十年代“网络安全”这一概念提出至今，网络技术飞速发展。近几年，各种互联网资源日益丰富和网民数量激增的同时，各类网络攻击事件数量成倍增长，充分说明各种安全威胁仍然存在，网络安全形势依然严峻。如何有效地管理企业网络系统，提高网络的安全性，已是迫切需要解决的重要难题之一。

1 影响网络安全的因素

计算机网络的安全性，是一个系统的概念，它是由数据运行安全、通信安全和管理人员的安全意识三部分组成。任何一方面出现问题都将影响整个网络系统的正常运行。

1.1 计算机病毒及黑客入侵的影响

1) 计算机病毒有着破坏性强、变形变种繁多、传播速度快、影响范围广等特点。计算机病毒凭借自身特点，利用网络作为自己繁殖和传播的载体及工具，造成信息、资源泄密，网络阻塞甚至瘫痪。

2) 黑客的入侵是网络攻击中最为普遍的现象，计算机软硬件方面的隐患为黑客入侵创造了有利条件。其入侵方法总体上可分为以下几种：

第一种：口令入侵

黑客通过破解密码、中途截击等方法得到某个合法用户的帐号和口令登录到目的主机，然后进行攻击。密码的破解一般都是利用了系统管理员的失误，如使用习惯性帐号、采用易泄漏的密钥和易被第三方截获的DES加密；另外，操作系统的设计缺陷、安全漏洞以及Bug也都是黑客进攻的渠道。

中途截击是由于Telnet、FTP、HTTPSMTP等协议以明文格式传输地用户帐户和密码，黑客利用数据包截取工具便可以很容易地收集到，或者利用 “三次握手”通信中假冒用户与服务器进行欺骗。

由此可见，在日常的工作中，我们只有通过修改系统账号、设置复杂密码、设置口令文件的访问权限，并且不断注意安全防范，及时查看服务器系统的异常情况，才能避免此类问题的发生。

第二种：利用安全漏洞和软件错误

1) 放置“Trojan Horse”程序：是一种最常见的攻击方法。它典型的做法就是把一含特殊任务的程序注入在某一合法用户的正常程序中，并改变其程序代码，一旦此程序被激活，它就能完成黑客指定的任务。由于此种程序必须被安装在目标系统，这就要求电脑用户必须有意或被欺骗的安装它。只要保持警惕性，不运行来历不明的软件，电子邮件和盗版软件，就可以做到主动防范。

2) 端口扫描：目标探测是网络攻击的第一步，以了解被攻击目标的一些信息，包括目标主机已开启的端口、端口上的网络服务及其版本，由此可以进一步发现和分析出系统的安全漏洞，为实施攻击作好充分的信息储备。这需要我们手工关闭闲置和有潜在危险的端口；有端口扫描的症状时，用防火墙屏蔽该端口。

3) 网络监听：在网络上，任何一台主机所发送的数据包，都会通过网络线路传输到指定的目标主机上，所有在这个网络线路上的主机都能侦听到这个传输的数据包。攻击者利用这一原理，截获流经他的各种数据包进行分析，并对一些敏感性的数据包做进一步的解析。这种攻击需要进入到目标主机所在的局域网内部，选择一条主机实施网络监听。我们可以通过检查系统运行的程序列表，及时查看日志文件，对数据及账号进行加密，划分VLAN等方法防止我们的网络被监听。

4) 另外，黑客还常利用IP、DNS、WEB、ARP、电子邮件等进行网络攻击。

1.2 计算机网络系统内部存在的安全威胁

计算机系统、通信线路、路由器、交换机等网络设备被自然和人为破坏。物理电磁辐射引起的信息泄露。计算机网络端口、传输线路、和各类处理机都可能因为屏蔽不严或未屏蔽造成电磁信息辐射，造成有用信息甚至机密信息泄漏。

TCP/IP、FTP等协议虽然拓宽了共享资源，但他提供的服务却包含许多不安全因素，存在许多安全漏洞。在发送信息时常包含源地址、目标地址和端口号等信息。导致了网络用户读写文件通过网络进行传送时产生了安全漏洞。

1.3 管理人员缺少严格的网络安全管理制度

网络内部的安全需要用完备的安全制度来保障，管理的失败是网络系统安全体系失败的最重要的原因。网络管理人员配置不当、网络应用升级不及时、网管员使用简单的系统账户及口令、网管员不慎将操作口令泄露、临时文件未及时删除而被窃取，或者随意使用普通网络站点下载的软件等都是人为因素造成的。另外用户安全意识不强、将自己的账号随意转借他人或与别人共享等，都会使网络处于危险之中。因此必须制定完备的管理体制来约束网络管理人员和企业用户。

2 网络安全管理的实现办法及安全对策

计算机网络安全性包括：保密性、完整性、可用性、真实性、可控性五大指标。网络安全的本质就是网络上的信息安全，安全防护的目的是保障各种网络资源稳定、可靠的运行和受控、合法使用。这是一项系统工程，下面从以下几方面给出网络安全解决方案。

2.1 物理安全管理

制定严格的网络安全管理规章制度，管理计算机网络系统物理安全。目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线窃听攻击，确保网络设备有一个良好的电磁兼容工作环境。另外还要配备UPS电源以确保网络能够不间断运行。

2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它能有效的解决信息安全领域的访问控制问题，有效地保护数据的保密性和完整性，保证网络资源不被非法使用和非法访问。

我们可以通过以下几种策略实现全方位的网络控制：入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制、防火墙控制。

2.3 系统安全设置

1) 操作系统安全。及时更新系统补丁，大多数病毒和黑客都是通过系统漏洞进来的。关闭TELNET、guest等不需要的服务和账号。并修改超级管理员账号名称。

2) IE浏览器安全级别。很多黑客通过访问网页，当你打开一个网页的时候，会不断的跳出多个窗口，关都关不掉。所以我们要将IE的安全性调高，经常删除一些cookies和脱机文件，还有就是禁用那些ActiveX的控件。

3) 口令安全。使用大小写字母和数字以及特殊符号混合的复杂密码，不要使用空口令或者简单易猜的口令。也可以在屏保、重要的文件上添加密码，以确保双重安全。

4) 安装杀毒软件。对全网内的机器从服务器到客户机都要安装杀毒软件，并保持最新的病毒定义码。减少由病毒带来的危害。另外每周一次对全网的电脑进行集中杀毒，并定期的清除隔离病毒的文件夹。

2.4 部署防火墙

防火墙是位于不同网络或网络安全域之间的一系列部件的组合，实现网络和信息安全的访问控制。它使内部网络与Interner之间与其他外部网络互相隔离。通过对防火墙的策略设置，可以用来限制网络互访，防止外部攻击；保护内部网络资源免遭非法使用者的侵入；执行安全管制措施；记录所有可疑事件。另外，防火墙还提供了NAT网络地址转换、加密、身份验证等功能。目前使用的防火墙产品可分为两种类型：包过滤和应用防火墙。但是防火墙也存在一些缺点和不足：防火墙不能防止内部攻击；不能防止未经过防火墙的攻击；不能完全防止有病毒的软件的传送； 不易防止木马攻击。所以必须配合其他手段进行网络防御。

2.5 入侵检测系统的部署：

入侵检测系统(IDS)是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息并将事件与入侵检测规则比较，在发现入侵行为与迹象后，及时作出响应，包括切断网络连接、记录事件和报警等功能。他是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.6系统审计

审计(Audit)是指产生、记录并检查按时间顺序排列的系统事件记录的过程，它是一个被信任的机制 。它也是计算机系统安全机制的一个不可或缺的部分，对于C2及其以上安全级别的计算机系统来讲，审计功能是其必备的安全机制。审计是其它安全机制的有力补充，它贯穿计算机安全机制实现的整个过程，从身份认证到访问控制这些都离不开审计。同时，审计还是人们研究的入侵检测系统的前提。

2.7 部署漏洞扫描系统

漏洞扫描就是对重要计算机信息系统进行检测，发现其中可被黑客利用的漏洞。多数攻击者所利用的都是常见的信息系统漏洞，这些漏洞，均有实时的书面资料记载。每一个系统都有漏洞，用户在使用过程中发现后必须及时安装系统补丁；然而系统配置的不断更改,黑客攻击技术的不断提高，网络安全系数也会不断地变化，必须定期地进行漏洞检测。漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描系统自动检测，系统管理员可以快速发现所维护的服务器的各种TCP端口分配、提供的服务、服务软件版本以及操作系统、数据库、防火墙甚至整个局域网呈现在Internet上的安全漏洞。

2.8 部署网络防病毒系统

病毒在网络中的迅速传播是利用了构成网络结点（工作站、服务器等）的可驻留性、可复制性和通信传播性实现的。因此企业内部需要部署网络防病毒系统，并且定时升级病毒库。部署防病毒能够在源头上保障企业内部的网络安全。在选择防病毒软件时应选用口碑比较好的名牌产品。并需具备以下功能：

1) 防护策略：实现全方位、多层次防毒。如：网关防毒、 群件服务器、应用服务器防毒和客户端防毒等。能够截断病毒可能传播、寄生的每一个结点。

2) 采用网关防毒作为首要防线。

3) 管理人员可随时随地通过浏览器对防毒系统进行有效管理。

4) 能够提供防毒产品及时、全面的服务与更新。

2.9 通过网络分段和VPN管理网络

网络分段式安全的主要措施，网络分为物理分段和逻辑分段，网络可从物理上分为若干段，通过交换器连接各段。更为强有力的安全控制是逻辑分段，对于TCP/IP，即把网络分成若干子网，各子网通过中心交换机连接。

虚拟专用网VPN（Virtual Private Network）是一种“基于公共数据网，给用户一种直接连接到私人局域网的服务”。虚拟专用网VPN不是真的专用网络，但是它却能够实现专用网络的功能，是公司对外的延伸。通过VPN平台，管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”低优先级的应用。

2.10 使用数据加密、数字签名和用户认证的传输技术。

他是企业在传送涉及到自己的商业秘密的数据时保障信息安全的最基本最核心的技术措施和理论基础。

2.11 加强网络安全管理，逐步完善网络系统安全管理规章制度。

对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，建立和实施严密的网络机房计算机安全管理制度与策略是真正实现网络安全的基础。建立完备的网络机房安全管理制度，妥善保管备份磁盘和文档资料，防止非法人员进入机房进行偷窃和破坏活动。将重要信息存放在光盘或其他介质上，同时镜像磁盘和双机系统，在受到攻击而造成破坏时及时恢复信息，减少受到攻击所造成的损失，只有把安全管理制度与安全管理技术手段结合起来，整个网络的安全性才有保障。

3 总结

在当前网络安全问题已经成为影响企业稳定发展的重要因素的严峻形势下，保障网络安全已经不容忽视。任何单位都应该根据自己的需要，制定自己的安全政策，采用合适的安全技术，选择合适的标准，让企业通过网络这个平台快速发展壮大。

参考文献：

[1] 谢希仁.计算机网络[M].4版.北京:电子工业出版社,2007.

[2] 郝兴伟.计算机技术及应用[M].北京:高等教育出版社,1999.

[3] 邓吉,罗诗尧,曹轶.黑客攻防实战入门[M].北京:电子工业出版社,2007.

[4] 王达.网管员必读――网络安全[M].2版.北京:电子工业出版社,2007.

[5] 戚文静.网络安全与管理[M].北京:中国水利水电出版社,2004.

[6] 葛秀慧.计算机网络安全管理[M].2版.北京:清华大学出版社,2010.

[7] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2008.

[8] (美)IdoDubrawsky，(美)WesNoonan.防火墙基础[M].北京:人民邮电出版社,2007.